常用命令

1. 在开启squid之前,你应该验证其配置文件是否正确。运行如下命令即可:

# squid -k parse   #假如你看不到输出,配置文件有效,你能继续后面的步骤。然而,如果配置文件包含错误,squid会告诉你

2. 初始化cache目录.即建立缓存目录的存储格式

# squid -z   #只需在第一次启动squid服务之前执行(在初次运行squid之前,或者无论何时你增加了新的cache_dir,你必须初始化cache目录。)

# squid -zX    #cache目录初始化可能花费一些时间,依赖于cache目录的大小和数量,以及磁盘驱动器的速度。假如你想观察这个过程,请使用-X选项

3. 启动squid服务

# service squid start   #最安全做法

# /usr/sbin/squid -s  #后台启动,有可能不生效

4. 停止squid

# squid -k shutdown   #最安全的停止squid的方法是使用squid -k shutdown命令

5. 不中断服务,重配置运行中的squid进程

# squid -k reconfigure   #运行中的重新引导配置squid最好的方法。squid.conf文件做了改动。为了让新设置生效,你可以关闭和重启squid。或者在squid运行时,重配置它。

6. 滚动日志文件处理

除非你在squid.conf里禁止,squid会写大量的日志文件。你必须周期性的滚动日志文件,以阻止它们变得太大。squid将大量的重要信息写入日志,假如写不进去了,squid会发生错误并退出。为了合理控制磁盘空间消耗,在cron里使用如下命令:

squid -k rotate

例如,如下任务接口在每天的早上4点滚动日志:

0 4 * * * /usr/local/squid/sbin/squid -k rotate

该命令做两件事。首先,它关闭当前打开的日志文件。然后,通过在文件名后加数字扩展名,它重命名cache.log,store.log,和 access.log。例如,cache.log变成cache.log.0,cache.log.0变成cache.log.1,如此继续,滚动到 logfile_rotate选项指定的值。

7.添加启动项

# echo 'systemctl start squid.service' >> /etc/rc.local

8.默认正向代理(3128)支持https,无需设置加密文件 ,反向代理时需要(一般不用squid做反向代理)

squid配置文件解析(/etd/squid/squid.conf)

重启statefulset命令 squid重启命令_服务器

重启statefulset命令 squid重启命令_重启statefulset命令_02

#
acl all src 0.0.0.0/0.0.0.0          #允许所有IP访问
acl manager proto http              #manager url协议为http
acl localhost src 127.0.0.1/255.255.255.255  #允午本机IP
acl to_localhost dst 127.0.0.1                 #允午目的地址为本机IP
acl CONNECT method CONNECT        #请求方法以CONNECT
#http_access allow all                #允许所有人使用该代理.
#http_reply_access allow all                #允许所有客户端使用该代理

acl Safe_ports port 80          # 允许安全更新的端口为80
acl Safe_ports port 443        #允许安全更新的端口为443

acl localnet src 10.195.249.225     #
acl localnet src 10.195.236.141     #

http_access allow localnet           #
http_access deny !Safe_ports           #


acl OverConnLimit maxconn 16        #限制每个IP最大允许16个连接,防止攻击
http_access deny OverConnLimit

icp_access deny all                        #禁止从邻居服务器缓冲内发送和接收ICP请求.
miss_access allow all                #允许直接更新请求
ident_lookup_access deny all                                #禁止lookup检查DNS
http_port 8080 transparent                                #指定Squid监听浏览器客户请求的端口号。

hierarchy_stoplist cgi-bin ?                #用来强制某些特定的对象不被缓存,主要是处于安全的目的。
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

cache_mem 1 GB        #这是一个优化选项,增加该内存值有利于缓存。应该注意的是:
                     #一般来说如果系统有内存,设置该值为(n/)3M。现在是3G 所以这里1G
fqdncache_size 1024        #FQDN 高速缓存大小
maximum_object_size_in_memory 2 MB        #允许最大的文件载入内存

memory_replacement_policy heap LFUDA  #动态使用最小的,移出内存cache
cache_replacement_policy heap LFUDA         #动态使用最小的,移出硬盘cache

cache_dir ufs /home/cache 5000 32 512  #高速缓存目录 ufs 类型 使用的缓冲值最大允午1000MB空间,
#32个一级目录,512个二级目录

max_open_disk_fds 0                                 #允许最大打开文件数量,0 无限制
minimum_object_size 1 KB                         #允午最小文件请求体大小
maximum_object_size 20 MB                 #允午最大文件请求体大小

cache_swap_low 90                            #最小允许使用swap 90%
cache_swap_high 95                            #最多允许使用swap 95%

ipcache_size 2048                                # IP 地址高速缓存大小 2M
ipcache_low 90                                #最小允许ipcache使用swap 90%
ipcache_high 95                                  #最大允许ipcache使用swap 90%


access_log /var/log/squid/access.log squid        #定义日志存放记录
cache_log /var/log/squid/cache.log squid
cache_store_log none                        #禁止store日志

emulate_httpd_log on        #将使Squid仿照Web服务器的格式创建访问记录。如果希望使用
                                #Web访问记录分析程序,就需要设置这个参数。

refresh_pattern . 0 20% 4320 override-expire override-lastmod reload-into-ims ignore-reload   #更新cache规则

acl buggy_server url_regex ^http://.... http://          #只允许http的请求
broken_posts allow buggy_server

acl apache rep_header Server ^Apache                 #允许apache的编码
broken_vary_encoding allow apache

request_entities off                                        #禁止非http的标分准请求,防止攻击
header_access header allow all                        #允许所有的http报头
relaxed_header_parser on                                #不严格分析http报头.
client_lifetime 120 minute                                #最大客户连接时间 120分钟

cache_mgr sky@test.com                        #指定当缓冲出现问题时向缓冲管理者发送告警信息的地址信息。

cache_effective_user squid                        #这里以用户squid的身份Squid服务器
cache_effective_group squid

icp_port 0                       #指定Squid从邻居服务器缓冲内发送和接收ICP请求的端口号。
                     #这里设置为0是因为这里配置Squid为内部Web服务器的加速器,
                     #所以不需要使用邻居服务器的缓冲。0是禁用

# cache_peer 设置允许更新缓存的主机,因是本机所以127.0.0.1
cache_peer 127.0.0.1 parent 80 0 no-query default multicast-responder no-netdb-exchange
cache_peer_domain 127.0.0.1                                 
hostname_aliases 127.0.0.1

error_directory /usr/share/squid/errors/Simplify_Chinese        #定义错误路径

always_direct allow all                # cache丢失或不存在是允许所有请求直接转发到原始服务器
ignore_unknown_nameservers on        #开反DNS查询,当域名地址不相同时候,禁止访问
coredump_dir  /var/log/squid                 #定义dump的目录

max_filedesc 2048                #最大打开的文件描述

half_closed_clients off        #使Squid在当read不再返回数据时立即关闭客户端的连接。
                                #有时read不再返回数据是由于某些客户关闭TCP的发送数据
                                #而仍然保持接收数据。而Squid分辨不出TCP半关闭和完全关闭。

buffered_logs on #若打开选项“buffered_logs”可以稍稍提高加速某些对日志文件的写入,该选项主要是实现优化特性。#

squid.conf配置文件说明

Squid命中率分析

/usr/local/squid/bin/squidclient -p 80 mgr:info
/usr/local/squid/bin/squidclient -p 80 mgr:5min

可以看到详细的性能情况,其中PORT是你的proxy的端口,5min可以是60min

取得squid运行状态信息:

squidclient -p 80 mgr:info

取得squid内存使用情况:

squidclient -p 80 mgr:mem

取得squid已经缓存的列表:

squidclient -p 80 mgr:bjects. use it carefully,it may crash

取得squid的磁盘使用情况:

squidclient -p 80 mgr:diskd

强制更新某个url:

squidclient -p 80 -m PURGE http://www.xxx.com/xxx.php

更多的请查看:squidclient-h 或者 squidclient -p 80 mgr:
查命中率:

squidclient -h IP(具体侦听IP) -p 80(具体侦听端口) mgr:info

正向代理访问控制案例

实现如下要求:
1,允许周一到周五12:00-14:00和17:30-21:00和双休能上网,别的时间不能上网
2,禁止下载.exe .rar .mp3 .avi .rmvb .mp4后缀的文件
3,禁止访问qq.com,mop.com,sina.com,163.com,youku.com
4,禁止访问网址中包含某些关键字的网站:比如 sex news movie sport game stock
5, vip没有任何限制
--把上面五点情况做成两种需求:
1,上课时间不能上任何网站,休息时间可以上网,但受限, vip没有任何限制
理论分析:
http_access    允许  vip
http_access   拒绝  限制
http_access    允许  休息时间
http_access deny all

实验需求一:

# vim /etc/squid/squid.conf
acl lunchtime  time MTWHF 12:00-14:00
acl dinnertime time MTWHF 17:30-21:00
acl weekend  time SA 00:00-24:00
acl badfile urlpath_regex -i \.mp3$ \.rmvb$ \.exe$ \.zip$ \.mp4$ \.avi$  \.rar$
acl badweb  dstdom_regex "/etc/squid/denywebsite"
acl badword  url_regex  -i sex news movie sport game stock
acl vip arp 00:0C:29:79:0C:1A
http_access  allow vip
http_access  deny  badfile
http_access  deny  badweb
http_access  deny  badword
http_access  allow lunchtime
http_access  allow dinnertime
http_access  allow weekend
http_access  deny  all
# vim /etc/squid/denywebsite
qq
sina
mop
163
youkud
# systemctl restart squid


2,上课时间可以上网,但受限,休息时间可以无限制上网, vip没有任何限制
理论分析:
http_access   允许  vip
http_access   允许  休息时间
http_access 拒绝  限制
http_access allow all
实验需求二:

# vim /etc/squid/squid.conf
acl lunchtime  time MTWHF 12:00-14:00
acl dinnertime time MTWHF 17:30-21:00
acl weekend  time SA 00:00-24:00
acl badfile urlpath_regex -i \.mp3$ \.rmvb$ \.exe$ \.zip$ \.mp4$ \.avi$  \.rar$
acl badweb  dstdom_regex "/etc/squid/denywebsite"
acl badword  url_regex  -i sex news movie sport game stock
acl vip arp 00:0C:29:79:0C:1A
http_access  allow  vip
http_access  allow  lunchtime
http_access  allow  dinnertime
http_access  allow  weekend
http_access  deny   badfile
http_access  deny   badweb
http_access  deny   badword
http_access  allow  all